116 aktiivista uhkaa
Huijausvahti

Puhelu, jonka jälkeen salasanan vaihtaminen ei enää auta – huijari rekisteröi oman pääsyavaimensa Microsoft-tilillesi

· · Aktiivinen · Kalastelu
Puhelu, jonka jälkeen salasanan vaihtaminen ei enää auta – huijari rekisteröi oman pääsyavaimensa Microsoft-tilillesi

Pääsyavaimet on myyty kalastelun kestäviksi, ja kirjautumishetkellä ne sitä ovatkin. Uusi huijaus ei hyökkääkään kirjautumiseen vaan rekisteröintiin, ja siksi murto jää päälle vielä salasanan vaihdon jälkeenkin.

Tiivistelma

Okta Threat Intelligence löysi vishing-kampanjan, jossa hyökkääjä soittaa työntekijälle ja rekisteröi puhelun aikana oman pääsyavaimensa uhrin Microsoft-tilille. Koska avain elää salasanasta riippumatta, tavallinen ohje salasanan vaihtamisesta ei poista murtoa. Suomalaishavaintoja ei toistaiseksi ole, mutta tekniikka on Suomessa varoituksia edellä.

Salasanan vaihtaminen on ensimmäinen neuvo, jonka kuka tahansa antaa murretun tilin jälkeen. Uudessa Microsoft 365 -tileihin kohdistuvassa kampanjassa se ei auta lainkaan. Hyökkääjä on jo ehtinyt rekisteröidä uhrin tilille oman pääsyavaimensa, eikä uusi salasana kosketa sitä millään tavalla.

Kampanjan löysi ja analysoi Okta Threat Intelligence. Tekijää seurataan tunnuksella O-UNC-066.

BleepingComputer kertoo, että Palo Alto Networksin Unit 42 tuntee saman ryhmän nimellä Pink ja liittää sen hajautettuun kiristysverkostoon The Com. Ryhmä avasi oman kiristyssivustonsa 31. toukokuuta, ja sinne se julkaisee näytteitä varastetusta datasta.

Toiminta on ollut käynnissä huhtikuusta 2026 alkaen. Kohteena ovat olleet elintarvike- ja juoma-ala, teknologia, terveydenhuolto, autoteollisuus, rakentaminen ja ilmailu.

Ajoitus ei ole sattumaa. Microsoft käynnisti pääsyavainten rekisteröintikampanjat toukokuussa 2026, ja rekisteröintikehotteet ovat oletuksena päällä.

Työntekijät ovat siis jo valmiiksi tottuneet siihen, että heitä patistetaan lisäämään pääsyavain. Miksei silloin uskoisi soittajaa, joka sanoo tekevänsä juuri saman asian?

Näin huijaus etenee

Hyökkääjä soittaa työntekijälle ja kertoo, että uusi pääsyavain on lisättävä turvallisuussyistä. Uhri ohjataan verkkotunnukseen, jonka nimessä lukee "passkey", esimerkiksi deploypasskey.com.

Kalastelusivu on rikollisen ohjaama paneeli, joka päivittyy sekunnin välein. Se nappaa ensin käyttäjätunnuksen, sitten salasanan, ja välittää reaaliajassa sen tunnistautumishaasteen, jonka aito Microsoft-kirjautuminen näyttää. Oli haaste sitten tekstiviestikoodi, sovelluskoodi tai numerovahvistus, uhri näkee joka vaiheessa oikealta näyttävän ruudun.

Sillä välin ruudulla vilkkuu jotain oudompaa. Uhrille näytetään BIP-39-palautuslauseeksi kutsuttua sanalistaa, joka kuuluu kryptolompakoihin eikä liity Entraan mitenkään. Ruutu on pelkkää harhautusta, joka pitää uhrin kiireisenä.

– Emme ole tietoisia siitä, että BIP-39-palautuslauseilla olisi mitään suoraa yhteyttä Microsoft Entraan tai sen pääsyavaimen rekisteröintiin, kertoo Oktan uhkatiedusteluryhmä.

Kaapatulla, monivaiheisen tunnistautumisen läpäisseellä istunnolla hyökkääjä kirjautuu aitoon Microsoftin portaaliin ja rekisteröi sinne oman pääsyavaimensa tilin omistajan oikeuksin. Avain on nimetty ihan vaarattoman kuuloisesti.

Uhri saa aidon Microsoftin ilmoituksen uudesta pääsyavaimesta, mutta harva tunnistaa sitä hälytykseksi.

Pääsyavain (passkey)

Pääsyavain on laitteeseen tallennettu kirjautumistunniste, jota ei voi kalastella itse kirjautumishetkellä, koska se on sidottu oikeaan sivustoon. Heikko kohta on rekisteröinti, se hetki jona uusi avain lisätään tilille.

Miksi salasanan vaihto ei auta

Pääsyavain elää salasanasta riippumatta. Se on Entra-tason tunniste, joka pysyy tilillä, vaikka salasana vaihdettaisiin monta kertaa.

Hyökkääjän ei tarvitse enää murtautua sisään uudelleen. Hänellä on oma avain, jolla ovi aukeaa.

Suomalaisittain

Tästä nimenomaisesta kampanjasta ei ole toistaiseksi suomalaishavaintoja. Se ei silti lupaa, että Microsoft-tilit olisivat täällä turvassa.

Kyberturvallisuuskeskus on varoittanut M365-tilien murroista pitkin vuotta 2026. Sen varoitus "Microsoft 365 -tilejä murretaan, varo tietojenkalastelua" raportoi 121 tapausta lokakuussa ja 330 tapausta koko vuoden 2025 aikana.

Yksikään näistä varoituksista ei kuitenkaan mainitse puheluita eikä pääsyavaimen rekisteröinnin väärinkäyttöä. Juuri se tekee tekniikasta uuden suomalaiselle lukijalle.

Ehtiikö tekniikka tänne ennen varoituksia? Se jää nähtäväksi.

Tunnistusmerkit

  • Kukaan ei soita ja opasta sinua lisäämään uutta kirjautumistapaa. Ei Microsoft, ei oma IT-tuki.
  • Verkkotunnus, jonka nimessä lukee "passkey", ei ole Microsoftin.
  • Palautuslause tai sanalista Microsoft-kirjautumisen yhteydessä on aina väärennös.

Mitä tehdä

  • Älä koskaan lisää kirjautumistapaa puhelun aikana, soittaja olkoon kuka tahansa. Katkaise ja soita takaisin tuttuun numeroon.
  • Tarkista omat kirjautumistapasi osoitteessa aka.ms/mysecurityinfo ja poista pääsyavaimet, joita et tunnista.
  • Ilmoitus uudesta pääsyavaimesta, jota et itse lisännyt, on murron merkki. Ilmoita työnantajan IT-tuelle heti.
  • Ilmoita kalastelusta osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
  • Organisaatioille: rajaa kirjautumistapojen rekisteröinti hallittuihin laitteisiin, hälytä jokaisesta uudesta tunnisteesta ja pidä Temporary Access Pass -myöntö tiukasti kurissa.

Lahteet

Lue myos